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Résumé — L'apprentissage de l’algèbre et de l’arithmétique en 
lycée et dans les premières années d’université peut être considéré 
comme inutile par de nombreux étudiants. Et pourtant les con- 
gruences, le Théorème de Bezout, les espaces vectoriels, les matri- 
ces et les polynômes sont devenues inséparables de nos techniques 
d’information. Nous les utilisons quotidiennement lorsque nous 
écoutons un CD Audio ou dès que nous tapons le code de notre 
carte bancaire sur le clavier d’un distributeur de billets. Le but de 
cet exposé est de raconter deux applications récentes de l’algèbre : 
les codes linéaires (et à travers eux les codes BCH) et le désormais 
célèbre système de chiffrement à clés publiques RSA. 


1 Introduction 


L’algèbre et l’arithmétique peuvent apparaître comme des constructions théori- 
ques, gratuites et sans aucun impact dans la vie quotidienne. Elles peuvent 
aussi être considérées comme un passage obligé permettant d'acquérir une cer- 
taine maîtrise calculatoire qui sera réinvestie dans d’autres domaines mathé- 
matiques ou dans les sciences expérimentales. 


- Dès le collège on utilise des rudiments d’algèbre pour calculer des distances 
dans des problèmes de géométrie, et pour résoudre des équations du premier 
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degré. La réponse à des problèmes pratiques donnée par le choix des inconnues, 
la mise en équation et la résolution de ces équations, représente une application 
remarquable de l’algèbre pendant toutes les études du secondaire. 


- Il est important de savoir résoudre des systèmes linéaires dans pratique- 
ment toutes les sciences expérimentales, et cela justifie l'apprentissage de la 
méthode du pivot de Gauss dès le lycée. Par ailleurs, en Astronomie, la prédic- 
tion des éclipses représente une application historique du Théorème des restes 
chinois, et par conséquent du fameux Théorème de Bezout et de l’arithmétique. 

- On peut rappeler l'importance du Théorème de Pythagore en architecture. 
La méthode de la corde à 12 noeuds était utilisée par les bâtisseurs babyloniens 
et égyptiens pour obtenir des alignements et des angles droits parfaits sur le 
terrain. Le Théorème de Pythagore, à la fois géométrique et algébrique, trouve 
ici une application fondamentale. 


- Le lien entre l'harmonie architecturale et le célèbre nombre d’or : 


1+45 
D — 2 


était accepté des anciens qui accordaient tout aussi bien une valeur méta- 
physique à ce nombre, compte tenu de sa nature irrationnelle. Mais si le 
nombre d’or est traditionnellement affublé d’un caractère esthétique universel 
(La Divina Proportione, de Luca Pacioli), cette harmonie peut être refusée : 
si l’on s'accorde à trouver beau le pentagone régulier étoilé, certains, comme 
lParchitecte-esthéticien Borissavliévitch, considèrent que le pentagone régulier 
convexe est « lourd et n’a absolument rien à voir avec la proportion et l’harmonie 
architecturale » ([5] p.26). 


- Les devinettes arithmétiques liées aux équations diophantiennes ont joué 
un rôle important dans le passé et peuvent toujours être utilisées pour mettre 
en oeuvre des résultats importants tels le Théorème de Gauss ou le Théorème 
Fondamental de l’Arithmétique. On pourra penser aux problèmes anciens 
suivants relevés dans le livre de Jean Itard [8] pp. 25-26 : 


Problème (Pacioli-Tartaglia-Bachet) : « Il y a 41 personnes en un 
banquet tant hommes que femmes et enfants, qui en tout dépensent 40 sous, 
mais chaque homme paie 4 sous, chaque femme 3 sous, chaque enfant 4 deniers 
(il y a 12 deniers dans un sou). Je demande combien il y a d'hommes, combien 
de femmes, combien d’enfants ». 


Problème (Euler) : « Quelqu'un achète des chevaux et des boeufs ; il 
paie 31 écus par cheval et 20 écus pour chaque boeuf, et il se trouve que les 
boeufs lui ont coûté 7 écus de plus que ne lui ont coûté les chevaux : combien 
cet homme a-t-il acheté de boeufs et de chevaux ? ». 


Pour un mathématicien, l'intérêt de l’arithmétique et de l’algèbre ne fait aucun 
doute. Mais que répondre à un élève de terminale qui demande à quoi peuvent 
bien servir les polynômes dans la vie de tous les jours ? Et les congruences ? 
Que répondre à un étudiant de DEUG qui doute sincèrement de l'intérêt d’un 
apprentissage systématique des matrices et de l’algèbre linéaire, du Théorème 
de Bezout et de l’indicateur d’Euler ? 


Il y a peu de temps, j'ai rencontré une personne qui devait apprendre à mul- 
tiplier des matrices entre elles et à les inverser. Cette personne préparait un 
concours interne d’Inspecteur des Impôts, et était persuadée que les matrices 
n'avaient été inventées que par des matheux désireux de créer des concepts 
abstraits sans aucun lien avec le réel. L’algèbre apparaît souvent comme une 
construction gratuite, et la Théorie des Nombres comme un « modèle même 
d’inutilité >» comme le dit M. Demazure dans l'introduction de son Cours 
d’Algèbre [7]. 

Mais où vivons-nous ? Qu’utilisons-nous constamment ? Chaque jour, nous 
écoutons des disques compacts et nous utilisons des cartes bancaires. Et bien 
l'algèbre est tout à fait présente dans ces instruments : en fait, nous util- 
isons quotidiennement, sans le savoir, des matrices, des polynômes et des 
espaces vectoriels pour entendre de la musique. Notre lecteur de salon pourra 
restituer le morceau de musique malgré les quelques petites rayures sur la 
surface du CD, le baladeur fonctionnera malgré quelques petits chocs, et nos 
cartes magnétiques protégeront les informations qu’elles contiennent en faisant 
appel à des techniques arithmétiques de chiffrement des données. Loin d’être 
obsolète, l’arithmétique devient inhérente à une grande diversité de systèmes 
d’information. 


Et la tendance n’est pas prête de s’inverser.. L’information doit être conservée, 
transmise et protégée. Cette information devient entièrement numérique : 
les textes, les images, les sons, les vidéos se résument à une succession des 
bits (symboles 0 ou 1). Le livre devient électronique avec l’e-book améri- 
cain et le Cytale français. Tout récemment, le projet PersonaForm, imaginé 
par l’américain Gregory Peter Panos, se propose de numériser l’individu sous 
toutes ses coutures pour en générer un double parfait, et ceci en utilisant 
les technologies d’acquisition les plus sophistiquées (scanning 3D du corps, 
échantillonnage numérique des expressions faciales, étude des mouvements...). 
Dans ce cas, le but est de créer et de conserver une trace cohérente d’une 
personne, et les applications seront nombreuses (applications thérapeutiques 
pour aider les victimes de traumatisme à reconstruire leur identité à partir de 
leur archive, création de simulacres qui évolueront dans des espaces virtuels, 
créations d’hologrammes...) [17]. 


Décidément, nous entrons dans une nouvelle ère. En suivant Pierre Levy, nous 


pouvons distinguer trois âges de l’humanité : celui de l’Oral, celui de l’Ecrit et 
celui de l'Information ([15] p. 23). L'informatique est régie par des nombres, 
c’est le domaine du numérique, et les nombres sont étudiés en mathématiques. 


Dans cet article, je voudrais motiver les apprentissages abstraits de l’arithméti- 
que et de l’algèbre en montrant les deux domaines d'intervention importants 
que sont le codage et le cryptage. La Fig. 1 montre les trois grands risques 
qui concernent un système d’information et la place du codage et du cryptage 
dans ces risques. 


De façon sommaire, on dira que le codage permet de protéger un message 
contre une perte de donnée due à sa transmission, à la destruction partielle du 
support de l'information, ou à tout autre cause. Il doit permettre de retrouver 
des données exactes à partir de données erronées. Le but du cryptage, quant à 
lui, est de transformer un message en une suite incompréhensible de symboles 
pour une tierce personne non autorisée. Le cryptage assure la confidentialité 
d’une communication et permet de signer des messages. 


2 Codage 


Si nous envoyons un message par un canal de transmission, par exemple le 
mot 01101 formé de 5 bits valant chacun 0 ou 1, le message obtenu à l’arrivée 
pourra contenir quelques erreurs. Décidons maintenant de répéter ce message 
trois fois, et d'envoyer le mot : 


011010110101101. 


Dans ce cas, une erreur pourra être corrigée et deux erreurs pourront être 
détectées. Ce code très simple qui consiste à répéter un certain nombre de 
fois le message à envoyer est appelé code à répétition. Il nous montre déjà 
que, pour protéger l’information, il faut rajouter des caractères redondants et 
augmenter le poids de cette information. 


Le code à répétition est utilisé dans certains lecteurs de CD Audio qui possè- 
dent trois têtes de lecture. Dans ce cas, le signal 0 ou 1 est lu indépendamment 
par chacune des trois têtes et une erreur de lecture peut être corrigée. 


Un deuxième exemple de détection d’erreurs très utilisé en informatique est 
l’adjonction d’un bit de parité. Le message 01101 est alors transformé en 
011011 où le dernier bit est égal à la somme de tous les bits du message originel. 
Il suffit alors de sommer tous les bits du message reçu pour obtenir 1 si une 
erreur s’est produite, et 0 dans le cas contraire. Ce code, appelé code de 
parité, détecte une erreur sans pouvoir la corriger. 


Risques concernant les Systèmes d'Information : 


Intégrité Confidentialité Disponibilité 


Ex : Perte d’information 
pendant un transfert 


Protection des données contre 
de données 


des personnes non autorisées 


Ex : Lecture d’un CD sale 
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CODAGE CRYPTAGE 


Théorie des Codes 


Cryptographie 


Correcteurs d’Erreurs 


Fig. 1 


Ces deux exemples contiennent en germe toute la Théorie des Codes. L’idée 
fondamentale est de s’apercevoir que l’on peut corriger un message en l’allon- 
geant volontairement avant sa transmission ou sa lecture. 


Une Théorie des Codes devra construire des outils qui permettent de : 


- savoir si des erreurs se sont produites (problème de la détection), 

- retrouver le message correct à partir du message reçu (problème de la 
correction), 

- corriger le plus d'erreurs possible en utilisant le moins de bits supplé- 
mentaires possible (problème de la performance du codage). 


Achevons ce paragraphe par une visualisation amusante et tout de même assez 
proche de la réalité. Imaginons un champs de tir où toutes les cibles seraient 
régulièrement disposées sur un cercle dont le centre serait occupé par un tireur 
(Fig. 2). Supposons que le tireur vise une cible À (A désigne le centre de la 
cible sur la circonférence). Notons d la distance curviligne entre les centres de 
deux cibles consécutives, et supposons que la cible A soit située entre les deux 
cibles B et C. Notons X le point d'impact de la balle sur le cercle. 


e Si X est à une distance curviligne de A strictement inférieur à d/2, alors 
on peut raisonnablement en déduire que le tireur visait la cible À, mais on 
n’en sera jamais vraiment sûrs (décodage par maximum de vraisemblance). 


e Si notre tireur est assez sûr de lui pour ne jamais envoyer sa balle à une 
distance supérieure ou égale à d/2 mètres de son objectif, alors on pourra 
toujours retrouver la cible qu’il visait en observant l’impact X. L'erreur peut 
être détectée et corrigée. 


e Il sera par contre impossible de déterminer la cible qui était visée si notre 
tireur est parfois capable d'envoyer sa balle à une distance supérieure ou égale 
à d/2 de son objectif. 


e Enfin, si le tireur est certain de toujours placer son point d'impact X à 
une distance strictement inférieur à d de son objectif, on pourra toujours dé- 
tecter une erreur de tir mais sans pouvoir la corriger (c’est-à-dire sans pouvoir 
déterminer la cible qui était visée). 


Fig. 2 


Nous devrons travailler dans des espaces discrets, et l'adaptation faite à la 
Figure 3 est encore plus réaliste. Les cibles sont remplacées par des points, et 
les seuls points d'impact possibles sont les points-cibles À, B... et les points 
a, b, c... marqués sur la circonférence. 


Fig. 3 


Dans ce cas, la correction du tir est possible si et seulement si notre tireur est 
suffisamment régulier pour toujours envoyer sa balle à une distance inférieure 
ou égale à [1] de son objectif ([t] désigne la partie entière de t). 


3 Distance de Hamming et distance minimale d’un 
code 


Soit Q un ensemble fini à q éléments. Soient Æ et n deux entiers naturels non 
nuls avec & < n. L'ensemble des messages sera une partie E de Qf, et l’on 
introduit une application injective : 

J': E — Q" 

d Had nt St (is, 6) 

appelée application de codage ou encodeur. Le message ou mot a est un 
élément de E. Il est modifié pour fournir le mot f (a) = c € Q". C’est le mot 
c qui sera transmis et lu par un système quelconque pour donner un message 
reçu æ = (%1,...,€n) qui contient éventuellement quelques erreurs. 
Notons C = f (FE) l’image de f. Comme f est injective, f réalise une bijection 
de E sur Cet C peut être considéré comme l’ensemble de tous les messages 
possibles. C'est appelé code de longueur n, et les éléments de C s’appellent 
les mots du code. Le cardinal du code est par définition celui de C. 
La distance de Hamming d définie par : 


Vr,yEeQ" d(x,y)= #{ EN /x fui} 


permet de mesurer le degré de différence entre deux mots x et y de Q7. On 
peut vérifier que d satisfait bien les axiomes classiques d’une distance. 


La distance minimale du code C' est la distance minimum entre deux mots 
distincts de ce code. On la note : 


d=Min{d(x,y) /x,yeCetx y}. 


Un code C de longueur n, de cardinal M et de distance minimale d est appelé 
code [n, M, d]. Les nombres n, M, d sont les paramètres du code. 


La distance minimale d permet d’obtenir le nombre maximum d’erreurs que le 
code peut corriger. Si le message € = (c1,...,€n) à été envoyé avec moins de # 
erreurs de transmission, le message obtenu x = (x1,...,2,) vérifie d(x,c) < t. 
Ainsi l’on peut retrouver c à partir de x si, et seulement si, il existe un unique 
mot de code situé à une distance de x inférieure ou égale à t. Cela revient 
à dire que les boules fermées de rayon t centrées sur les éléments du code C 
soient disjointes. Un code corrigera t erreurs si cette condition est vérifiée. 


Théorème 1 Un code C de distance minimale d corrige au plus e = [ES] 
erreurs et en détecte d — 1. 


Preuve : Le code © ne corrige pas t erreurs si et seulement si : 


rer eeC cc deeteameler (0 
et cela entraîne d < d(c,c) < d(c,x) + d(x,c') < 24, soit : 
d<2t. (2) 


La réciproque est vraie. En effet, si (2) est vérifiée, on peut toujours trouver 
deux mots de code c et c/ situés à la distance d l’un de l’autre, et les noter 
= issu )Let 

c'= (ch,.….,c,Car1,.…., Cn) quitte à permuter les coordonnées. Il existe deux 
entiers naturels p et q inférieurs ou égaux à t tels que d = p + q < 2t, et le 
mot : 


T — (ci, …. ds Cp+1 +. Cp+qs Cd+15 ++. Cn) 
vérifie bien d(x,c) = p <tet d(x,c') = q <t. Cela prouve (1). En conclusion 
C' corrige t erreurs si et seulement si 2t < d, et cela équivaut à £ < [St]. = 


d=3 et e=1 d=4 et e=1 


Exemple 1 - Dans F#:, le code C formé des 3 points ci-dessous est de distance 
minimal 2. Les boules fermées de rayon 1 centrées sur les mots du code sont 
représentées en couleur. Ce code détecte une erreur sans pouvoir la corriger. 


Y 


Exemple 2 - Dans a la droite vectorielle 5x — 3y = 0 détermine un code 
linéaire C”. Sa distance minimale est encore 2. Il est facile de savoir si un mot 
appartient ou non à C”, et d’exhiber l’encodage : 


FE Ps: — Fe 


t 1 (3t,5t). 


A Codes linéaires 


Si q est une puissance non nulle d’un nombre premier, on sait qu’il existe à 
isomorphisme près un unique corps fini F, de cardinal q ([9], [16]). Choisissons 
E = F£ comme ensemble des messages. L'ensemble E devient maintenant un 
espace vectoriel de dimension & sur F,, et il est naturel de ne considérer que 
les fonctions d’encodage f linéaires. Le code C = f (F) est alors structuré 
en sous-espace vectoriel de F7. 


Définition 1 Un code linéaire de dimension k et de longueur n sur F, est 
un sous-espace vectoriel de dimension k de FŸ. Si la distance minimal de C 
est d, on dit que C est un code de paramètres [n, k, d] (ou simplement [n, k]). 
Si g — 2, on dit que C est un code binaire. 


Définition 2 Le poids de Hamming d’un mot x de F} est, par définition, 
le nombre de coordonnées non nulles de ce mot. On le note : 


w(x)=#{ienN,/x; #0}. 
Comme d(x,y) = w (x — y), la distance minimale de C s’écrit : 
d = Min {w(x) /x € C*}. 


L'application linéaire f : F* — F} possède une matrice que l’on notera ÎG' dans 
les bases canoniques. Ici l'écriture {G désigne la transposée de la matrice G. 
La matrice G possèdera k lignes et n colonnes, et tout mot de C s’écrira sous 
la forme c = f(x) = xG où c = (c1,...,en) € F9 et où x — (x1,...,%x) € F* 
sont des vecteurs-lignes. 


Définition 3 Une matrice génératrice du code C est une matrice G de 
taille k X n telle que : 


C=fcer/xer c=aG}. 


Toute matrice H de taille (n — k) x n vérifiant : 
ceCs H'c=0 


est appelée matrice de contrôle de ©. On a C = KerH etrgH =n—k. 
Toute application linéaire S': F7 — F7 (où m € N) de noyau C est appelée 
syndrome de C. En particulier, S (x) = H tx définit un syndrome de C.. 
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5 Codes systématiques 


À chaque mot x = (x1,...,xx) du message on adjoint n—k symboles cy11,..., Cn 
dépendant linéairement des x; pour obtenir le mot de code c = f(x). Les 
symboles ajoutés sont appelés bits de contrôle. On à : 


C— (Li ss Lks Ck+1; sde) —= (CR a) (lk | A) 


où (14 | À) désigne la matrice & x n obtenue en écrivant côte à côte la matrice 
identité J, de taille 4 et une matrice quelconque À. Un code C sera dit 
systématique s’il possède une matrice génératrice de la forme G = (14 | A). 
Comme : 

ceC& er EG =] A 


on aura : 


I 
ceC=(-'A|l;-à) ‘e=(-'A|I:-x) ( à ) tx = —tAîix+ tAtx 0. 

Autrement dit C est inclus dans le noyau de l’application linéaire de matrice 
H=(-'A|l,-). On notera CC Ker H. Comme H est une matrice de rang 
n — k, on aura dimC = dimKer H = k et C — Ker H. On vient donc de 
montrer que la matrice H — (— tA| fe) est une matrice de contrôle de C. 
Donnons quelques exemples de codes binaires systématiques : 

a) L’encodage * à (x1, T2, x3) — (ts T2, T3, T1 + T3, T2 + T3, T1 + T2 + T3, z3) 
définit un code systématique C de type [7,3] sur F2. L'écriture : 


1 0 O0 1 0 1 O0 
ral = Giesa  L O2T 0 RO dE E.-Ù 
0 O I 1 1 1 1 


met en évidence une matrice génératrice de C, et l’on déduit la matrice de 
contrôle : 


1: 00e PL 07 2070 
af CO É Em S0 0 0 
— Lu Le NS 0. 4,0 
0 0 1 | O0 O0 0 1 
b) La matrice génératrice G du code de parité binaire sera : 
1 CES 
0 on 
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puisque l’encodage est : 


1 01 . 
(a1,.….,%r) > (a1,.…., 2x) É Li l- (ana Sa) | 
0 1 | 1 i=1 


La matrice de contrôle H associée est H = (1 ... 1). 


c) Code à répétition : répétons n fois le symbole x1. On obtient un code 
In, 1] pour lequel : 


CCI 4 1) & #=|).E | 


Le code {(0,0,0),(1,1,1)} obtenu pour n = 3 a été dessiné ci-dessous. De 
distance minimale 3, ce code corrige une erreur et les boules fermées de rayon 1 
centrées sur les mots de code recouvrent F5. On dit que ce code est parfait. 
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6 Codes MDS 


Théorème 2 La distance minimale d’un code linéaire de matrice de contrôle 
H est égale au nombre minimum de colonnes de H linéairement dépendantes. 
Autrement dit : 


d=Min{s € N*/ül existe s colonnes de H linéairement dépendantes} . 
Preuve — Soit C' un code de paramètres [n, k, d] et de matrice de contrôle 
H = [h1,.….,hà], où h; désigne la t-ième colonne de H. Le Théorème provient 


des équivalences : 


z=(t,..,%n)eC & H'x=0 


T1 
= [h1, .…, Rn] : = Ô 
Tn 
nm 
i=1 
Si x — (%1,..,%n) représente un mot de code de poids d, et la relation 


Sutih; = 0 montre une relation de dépendance d’exactement d colonnes 
de H. Il existera donc d colonnes de H linéairement dépendantes. D'autre 
part, si les s colonnes h;,,...,h;, de H sont linéairement dépendantes, il existe 
une s-liste (x,,,…,x;,) Æ (0,...,0) telle que 2e T;hi; = 0. En posant x; = 0 
siid {ir,.…,t} et x = (æ1,...,Æn), on constate que x € Cet w(x) < s. Cela 
entraîne d <S. 


Corollaire 1 Les paramètres d’un code vérifient toujours l'inégalité : 


k+d<n+l1. 


Preuve — La matrice H est de rang n — k, donc n — k + 1 de ses colonnes 
seront toujours liées et le Théorème 2 entraîne d<n—k+1. m 


Définition 4 La majoration d < n — k+1 est appelée borne de Singleton. 
Un code MDS (Maximum Distance Separable) est un code [n,k, d] tel que 
d=n—-k+1. 


Corollaire 2 Le code C est un code MDS si, et seulement si, n — k colonnes 


quelconques d’une de ses matrices de contrôle H sont toujours linéairement 
indépendantes. 
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Voici trois exemples de codes MDS : 

a) Le sous-espace vectoriel C engendré par un vecteur a € F7 dont toutes 
les coordonnées sont non nulles est un code MDS de paramètres [n, 1,n|, 

b) L’hyperplan d’équation 1 +...+x, = 0 est un code MDS de paramètres 
[n,n — 1,2], 

c) Un code de Reed-Solomon (voir plus loin) est un code MDS. C’est le code 
utilisé dans le minitel. 


7 Codes cycliques 


Définition 5 Un code linéaire C est cyclique s’il est stable par permutation 
à droite de ses composantes, c’est-à-dire s’il vérifie : 


(do5:,0,-5 0-1) CS (adsl ec 
Notons F, [x] l'algèbre des polynômes à coefficients dans le corps de Galois 


F,, et (x — 1) l’idéal engendré par le polynôme x” — 1. L’algèbre quotient 
F, [x] / (x° — 1) est un F,-espace vectoriel de dimension n, dont une base est 


q 

GR nr Cela nous permet d'identifier (vectoriellement) un élément 
a — (ao,.….,4n-1) de F9 au polynôme a (x) = ao + a1x +. + an_1#"7| de 
F, [x] /(x° — 1). Pour simplifier les notations, on oubliera de mettre le point 
au-dessus de la classe de x, de sorte que l’on écrira : 


a (x) = ao + &T +... +an12" EF, [x] /(x" —1) 


Avec cette identifica- 
[x] / (x — 1). Si C est 


le polynôme associé au vecteur a = (ap, .…., 4n-1) €] 
tion, le code C devient un sous-espace vectoriel de | 
un code cyclique, 


n 
q° 
q 


P) 
FF 


a (x) = agt+ait+..+an 17 eC = a Cle do sur et 


et, de proche en proche, on obtient x'a(x) € C' pour tout entier à. Par 
linéarité le polynôme b (x) a (x) appartiendra à C quel que soit le polynôme b 
de F,{x] /(x" — 1), et C' sera un idéal de l’anneau-quotient F, [x] / (x — 1). 
Réciproquement, tout idéal de F, [x] /(x" — 1) est un sous-espace vectoriel 
stable par permutation à droite des coordonnées dans la base (1, Luis cine) À 
et l’on peut énoncer : 


Théorème 3 Un code cyclique est un idéal de F, [x] / (x — 1) dès que l’on 
identifie les F;-espaces vectoriels F7 et F, [x] / (x" — 1). 


On peut démontrer le Théorème suivant qui précise la nature des idéaux de 
F le] / (a — 1). 
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Théorème 4 Soit k un corps et f € k[x]. L’'anneau À = kfx]/(f) est 
principal, et tout idéal de À est de la forme (g) où g est un polynôme unitaire 
de k[x] qui divise f. De plus un tel polynôme g est unique. 


Définition 6 Soit C' un code cyclique. L'’unique polynôme unitaire g de F, [x] 
qui divise x" — 1 et tel que C = (g) est appelé polynôme générateur du code 
cyclique C. 


Soit C le code cyclique de longueur n sur F, et de polynôme générateur g. 
Ecrivons 4° — 1 = g(x)h(x) et posons deg g = n — k. Le code C'est l’image 
de l’application linéaire : 


puisque tout élément de C est un multiple de g (dans l’identification des 
espaces vectoriels FF et F,[x]/(x" —1)). Comme deg(a(x)g(x)) < n —1, 
Papplication 7 sera injective et réalisera un encodage simple de C. On en 
déduit aussi : 

Théorème 5 La dimension du code cyclique de longueur n sur F, et de 
polynôme générateur g est n — deg g. 

Notons g (x) = go + g1x + …. + 9n_r2" + et a (x) = ag + air +. + ap 1 1. 
Alors : 


a (x) g (x) = aogo + (aog1 + &1go) x + … + Qk-19n-K2 7 | 


et y(a) = (ao, a1,…, ax-1) G avec la matrice génératrice : 


go Qi + ne 05: 0 
G= | 90 

; : | 0 

QE és 0 6 me TE 


L'application S : ar S(a) = a(x)h(x) définit un syndrome de C puisque : 
a(x)eC & a(x)h(x) = 0. 


En effet a (x) € C entraîne a (x) = b(x) g(x), d’où : 


Réciproquement, a (x) hk (x) = 0 se traduit par (x° — 1) [a (x) h (x) qui entraîne 
g(x)la(x) et a(x) € C. On déduit alors les équivalences : 


a(x)ec & (ao + ait +. + GnA2 7”) (ro + hit +... + ha) 


2. H'a=0 
avec : 

RC US D D: 

h1 ho LR ho 

Rk2 R1 Ro ‘ ‘ 
H = hi Rx 

0 

han +. ho 
h ho 0 
0 Rx c. hi ko 


On a trouvé une matrice de contrôle de C de taille n x n. 


8 Codes BCH (Bose-Chaudhuri-Hocquenghem) 


Les codes BCH sont des codes cycliques particuliers très utilisés et adaptés 
à des situations variées. Ainsi le Minitel utilise un code BCH primitif de 
longueur 127 et de polynôme générateur g (x) = x? +x° +1. Le code CIRC 
(Cross Interleaved Reed-Solomon Code) est présent dans les CD Audio et per- 
met de corriger des paquets d’erreurs ou d’effacements de 4096 bits consécutifs 
correspondant à une rayure d'environ un millimètre (voir [2], [13] ou [21] pour 
plus de détails). Enfin signalons qu’un code de Reed-Solomon [255, 223, 33] 
a été adopté comme norme de transmission entre satellites en 1982 par le 
CCSDS (Consultative Committe for Space Data System) et a été utilisé sur la 
sonde européenne Giotto, puis sur le satellite d'exploration de Jupiter Galileo 
([L6] p. 150). 

Si q est premier avec n, l’ordre multiplicatif de g modulo n est, par définition, 
l’ordre de l’élément q dans le groupe multiplicatif des éléments inversibles de 
Z/nZ. C’est donc le plus petit entier naturel non nul m tel que g” = 1 (n). 
Notons m l’ordre multiplicatif de q modulo n. Soit à une racine primitive 
n-ième de l’unité (dans une extension algébriquement close de F,). On a : 


ae Frs & lez] & n| (g' —1) & g=li(n) & ml. 
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La plus petite extension de F, contenant à sera donc F4m, et l’on peut écrire 
Fm —= F; (@). 
Le corps F,m sera la plus petite extension de F, contenant toutes les racines 
at (0<+t<n—1) du polynôme x" — 1. C’est le corps de décomposition de 
x" — 1 sur F,, encore appelé corps des racines n-ième de l’unité sur F4. 
Soit p (x) le polynôme minimal de a sur F,. C’est, par définition, le polynôme 
irréductible unitaire de F, [x] tel que p(a) = 0, et l’on sait que p(x) divise 
x" — 1. De: 

Fgm = F;(a) + F[x] /(p(x)) 


on déduit m = dimp, (F4 [x] / (p(x))) = degp(x). On sait aussi que les racines 


de p(x) sont exactement @, aî, …, a [9]. 
Définition 7 Soient n un entier naturel premier avec q, et d un entier tel que 
2<d<n. On appelle code BCH de longueur n et de distance constru- 
ite d sur F, tout code cyclique de longueur n et de polynôme générateur : 

g (x) = ppem (p, (x) , pr+1 (@) ; + Pr+d-2 (x) 
où r € N*, où p;(x) désigne le polynôme minimal de @ sur F,, et où a est 
une racine primitive n-ième de l’unité dans Fm. 


Bien entendu g divise x” — 1 et représente le polynôme de F, [x] de plus petit 
degré admettant les éléments distincts a”, a"+1,..., a"+d72 comme racines. 


Définition 8 Sir = 1, on dit que C est un code BCH au sens strict. Si 
n=q"—1,C est appelé code BCH primitif (dans ce cas à est un élément 
primitif de Fym). Enfin un code de Reed-Solomon de longueur q — 1 est 
un code BCH de longueur n = q — 1 sur le corps F, (autrement dit à est un 
élément primitif de F,). 


Théorème 6 La distance minimale d’un code BCH est supérieure à sa dis- 
tance construite. 


Preuve — Un mot a = (ap,&@1,.…., 4n-1) appartient à C si, et seulement si, 
le polynôme associé a (x) = ag + aix + … + an_12"! est multiple de g(x). 
Cela revient à dire que a (x) est divisible par chacun des polynômes p; (x), ou 
encore que a (x) admet a”, a"+1l,...,a"+d2 comme racines. Cela s'écrit : 


n—1 


Vie {0,.,d—2} ao + aa" + ao) +. Lan 1 (ati) 0 


ou encore H ta = 0 avec : 


1 a a?" arm Dr 

1 at! a2tr+1) ar D(r+1) 
H = | 

1 atd-2 a2(r+d-2) ar 1)(r+d-2) 


La matrice H est une matrice de contrôle de C et l’on peut vérifier que d—1 
colonnes quelconques de cette matrice sont linéairement indépendantes. En 
effet le déterminant : 


ar a2" ad-17 

a (+1) a? (r+1) aœa-1(r+1) 
D = 

at (r+d—2) a (r+d—2) aœid-1 (r+d—2) 


se calcule en utilisant le déterminant de Vandermonde. On trouve : 


1 1 1 
il aï2 atd-1 
D atüt--Hia-1)r 
and?) hi2(d-2) aia-1(d-2) 
atüt--Hia-i)r El (ax = at) Æ 0. 
L<k 


Il suffit d'appliquer le Théorème 2 pour conclure. 5 


Théorème 7 Un code de Reed-Solomon de longueur q — 1 et de distance con- 
struite d (2< d<q—1) est un code cyclique de polynôme générateur : 


g(x)=(x-0o")(e - "th. (x — Dire) 


où à est un élément primitif de F,. Ses paramètres sont [q — 1,q — d,d] et 
c’est donc un code MDS. 


Preuve : Le polynôme minimal de a? sur F, est p; (x) = x — a de sorte que : 


5) ( 


g(x)=(x-aæ)(x-a æ— +92) 


engendre © et dimC = k = n — degg = n —-d+1. Le Théorème 6 et la 
borne de Singleton permettent d’encadrer la distance minimale dist C' de C 
pour obtenir d<distC<n—-k+1=d. 1 


9 Exemple de décodage matriciel d’un code BCH 
binaire 
Cherchons une racine primitive 15-ième de l’unité sur F2. Cela revient à 


connaître un polynôme irréductible de degré 4 et d’ordre 15 appartenant à 
l’anneau F2 [x]. 
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Une table (par exemple, la table C du chap. 10 de [9]) répertorie seulement 3 
polynômes irréductibles de degré 4. Ce sont les polynômes #4+%+1 d'ordre 15, 
24+ 2% +1 d'ordre 15 et 24+x%+x? +x+1 d'ordre 5. Choisissons le polynôme 
P(x) = x*+x+1. Une racine a de P(x) sera d’ordre multiplicatif 15, et 


c’est elle que nous choisirons pour construire nos exemples. 


On sait que les racines de P (x) sont a, a, a* et aÿ. Notons p; (x) le polynôme 


minimal de a* sur F2. Le code Cy cyclique de longueur 15 engendré par le 
polynôme : 

g (x) = ppem (pi (x) , pa (x) , …, pa-1 (x) 
est un code BCH de distance construite d qui corrigera au moins [51] erreurs. 
Considérons le code cyclique C2 de polynôme générateur p1 (x) = P(x). 
Comme C2 = C3, ce code corrige au moins 1 erreur. On a : 


: 14 

a = (ap, a1,.…,a14) € C2 & a(a) = 0 où a (x) = ao + a1T + .… + a14æ 
Une matrice de contrôle de C2 sera donc : 
H=(1 à & & Hé e MuOLAT A Or AD, Al De Sur ) 


ou encore : 


0 
1 
1 


OO OO Or 
OO © r © 
© & © © 
r © © © 
OO 
R kR © © 
ROM 
OO hOMr 
h © HR © 
Oh 
RH k © 
HAS O: Es 


0 


en exprimant chacun des a dans la base (1, a, a?, a) du F2-espace vectoriel 
F6. Une permutation des colonnes de H nous donne une matrice de contrôle 
du code [15,11] de Hamming. Toutes les colonnes de Æ sont discernables et 
cela permet de localiser une erreur. En effet, si x € FF désigne le message 
envoyé, et si le message reçu y contient au plus une erreur, alors y = x +e où 
e est un mot de poids 0 ou 1. En posant S (y) = H ‘y, on trouve S (y) = S (e). 
Si S(y) = 0, il n’y à pas eu d’erreur. Si le vecteur S (y) n’est pas nul, il sera 
égal à l’un des vecteurs-colonnes de H et l’indice de cette colonne représentera 
la place de l'erreur. 


Considérons maintenant un code BCH construit sur les racines consécutives 


a, a?,a%. Comme a“ est aussi racine de p1 (x), le code C4 sera identique au 


code C3 et corrigera au moins [1] = 2 erreurs. Comme pgcd (3,15) = 3, 
l’ordre multiplicatif de a sera 5, et le polynôme minimal p3 (x) de a sera 
un polynôme d’ordre 5 appartenant à la liste des polynômes irréductibles de 


degré 4 donnée plus haut. Donc : 


ps (x) = 24 +8 +? +x +1. 
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En conclusion le code C4 est cyclique engendré par le polynôme : 


g (x) = p1 (x) ps (x). 
On a : 


a = (ap, a1,.…, 14) E Ca & a(a) = a (a) = 0 où a (x) — ao+air+...+a14x À. 


Une matrice de contrôle de C2 sera donc : 


H = 1 «a o2 7 + Œ a a? al al4 
| 1 à a*2 a3*3 at … a*12 a3*l8 a3*l4 


En exprimant chacune des puissances de « dans la base (1, a, @,0), on 
obtient encore : 


10 01:07 dE O0 LC LOC 60 dd A À 
Où 10% code A0 T2 107 LT le É 0 0 
D “Où. 20 20 A0 D SOL TOM LE MA 0 
DA DATA NE SOL ele 
H=| 601110011100 111| 1-6. 
O0 200 0ù 1 0:10: 70: 0! A: “OT: 0 À 
DA LL MONO I 26, 0e HA 
OS OR D A ES A 2 LR EC 


Soit x € F4 le message envoyé. Supposons que le message reçu y contient 
moins de deux erreurs. On a y = x +e où e est un mot de poids 0, 1 ou 2. 
Posons : 


SW=Hy=8(= (7 ). 


De trois choses l’une : 
- Si S (y) = 0, aucune erreur ne s’est produite et y = x. 
: D he ; œ 
- Siw(e) = 1, un seule erreur s’est produite à la place 4 et S(e) = ( oi ) 
représente la i-ème colonne de H (lorsque les colonnes sont numérotées de 0 
à 14). Comme toutes les colonnes de Æ sont discernables, la position à de 
l'erreur est facilement repérable et l’on peut corriger le message. 


- Siw(e) = 2, deux erreurs se sont produites aux places 4 et j à déterminer. 
On connaît parfaitement le vecteur : 


sU=s@=($ )-( Hi ). 


Le calcul : .. nn L 
À = B + 3a af + 30 0°) = B + ao À 


montre que À n’est pas nul (sinon À = B = 0 entraîne S (y) = 0). Alors 
AB 
A 


d'a — et les nombres a* et a seront les racines de l'équation du 
second degré AX? — A?2X + A% - B — 0. Il ne reste plus qu’à résoudre cette 
équation dans F6 par substitution pour obtenir les places à et 7. 


Une dernière remarque reste à faire pour expliquer comment on peut savoir si 
w (e) vaut 1 ou 2 à la seule lecture de S (y). En fait on réagira toujours en 
calculant S (y) puis en cherchant une colonne de H identique à S (y) dès que 
S (y) Z 0. Si une telle colonne est découverte, on peut affirmer que w(e) = 1 
et qu’une seule erreur s’est produite. Si S (y) ne correspond à aucune des 
colonnes de À, on peut affirmer que w(e) = 2 et conclure comme ci-dessus. 
L’explication en est simple : il n’existe pas de triplets (4, j, k) dans {0, .., 14}? 


tels que : | | 
@+ai \ _f a 
RC D 
Dans le cas contraire on aurait a%+a%) = (a + ai) d'où a af (af + ai) = 0, 
ce qui est absurde. 


10 Cryptographie à clé révélée 


Si la cryptographie existe depuis l’antiquité et était essentiellement utilisée 
à des fins militaires, les années 1970 ont généralisé son emploi dans les do- 
maines civils, créant par la même de nouveaux besoins. L'utilisation d’un 
cryptosystème conventionnel pose un certain nombre de problèmes : 


1. Multiplication des clés — Pour sécuriser une information entre deux 

partenaires, ceux-ci doivent posséder la même clé K permettant, pour l’un, 
d'utiliser sa fonction de chiffrement Cx, et pour l’autre, d’obtenir sa fonction 
de déchiffrement DK. Ainsi n abonnés auront besoin de n° clés distinctes 
correspondant à chaque couple (E, R) que l’on peut former en choisissant un 
émetteur Æ et un récepteur À dans la même liste des n abonnés. 
Toutes ces clés X doivent rester secrètes, et cela peut être difficile à réaliser 
lorsqu'il s’agit de communications entre des sociétés où de nombreuses person- 
nes peuvent avoir accès aux données confidentielles contenues dans un coffre. 
Cela nécessite aussi de changer les clés classiques à intervalles réguliers. 


2. Communication des clés — Deux interlocuteurs potentiels utilisant 
un réseau électronique devront se communiquer leur clé commune avant de 
pouvoir obtenir une communication sécurisée. La seule façon de le faire serait 
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d'utiliser un courrier classique contenant la clé. C’est insupportable si l’on 
utilise un moyen rapide de communication comme la poste électronique. Un 
nouveau dispositif doit être inventé pour permettre le choix de la clé commune 
entre nos interlocuteurs et interdire sa lecture par une tierce personne. 


3. Signature — Un correspondant mal intentionné peut facilement créer 

un message en clair, puis le crypter en utilisant la fonction Cx. A partir 
de là, il peut décrypter le message et faire croire qu’il a été obtenu par la 
voie normale. L'utilisation d’un système conventionnel interdit par conséquent 
l'envoi d’un chèque électronique à un créancier puisqu’un juge ne pourra jamais 
affirmer qu’un chèque a effectivement été envoyé par la personne qui l’a signé. 
L'association (Cx (M), M) du message chiffré et de sa traduction en clair ne 
constitue en aucun cas la preuve de l’envoi de ce message par la personne 
indiquée. 
Le problème de la signature d’un message est beaucoup plus grave que celui de 
son authentification. Authentifier un message, c’est créer les conditions pour 
que le receveur soit assuré que le message qu’il vient de déchiffrer provient 
bien de la personne indiquée. Signer un message, c’est se donner les moyens 
de démontrer à une tierce personne que le message reçu provient bien de 
la personne qui l’a signé. Bien évidemment, la signature d’un message doit 
dépendre à la fois de l’expéditeur et du message lui-même, pour éviter toute 
modification du message originel (problème de l'intégrité du message). 


C’est pour répondre à ces nouvelles exigences que Diffie et Hellman ont inventé 
le concept de cryptosystème à clés révélées en 1976 ([4], [3]). La première im- 
plémentation pratique utilisant ce concept a été donné en 1978, et il s’agit du 
système RSA de Rivest, Shamir et Adleman ([1]). Ce système est très popu- 
laire et utilisé dans le célèbre PGP (Pretty Good Privacy) de Phil Zimmerman 
pour l’envoi de lettres électroniques cryptées. 


Dans un cryptosystème classique, l'émetteur Æ et le récepteur À connais- 
sent tous les deux parfaitement la fonction de chiffrement C et la fonction de 
déchiffrement D. 


Dans un cryptosystème à clé révélée, le récepteur est le seul à connaître les 
fonctions C et D, et permettra à tout le monde d’avoir accès à la fonction 
C' de chiffrement en la publiant, par exemple, sur un bottin. La fonction C 
est appelée clé publique, ou clé révélée, de chiffrement, et la fonction D est 
appelée clé secrète de déchiffrement. 

Un émetteur E désirant envoyer un message M au récepteur R devra d’abord 
récupérer la clé publique © correspondant à R sur un bottin. Ensuite l'émetteur 
E calcule C'(M) et envoie ce message à R. A l’arrivée, le récepteur R applique 
sa clé de déchiffrement D au message pour obtenir D(C(M)) = M. 
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Les fonctions C et D, définies et à valeurs dans l’ensemble M des messages, 
doivent vérifier les propriétés suivantes : 


P1 : Pour tout message M, on a D(C(M)) = M (en particulier C est 
injective), 

P2 : La connaissance de Cet de M’ = C'(M) interdit le calcul de D (M) 
en un temps raisonnable, 


auxquelles on ajoute éventuellement la propriété : 
P3 : Pour tout message M, on a C(D(M)) = M. 


Définition 9 Une fonction trappe ou fonction à sens unique est une 
fonction 

C: M — M pour laquelle il existe une fonction D : M — M vérifiant les 
propriétés P1 et P2. Une permutation trappe ou permutation à sens 
unique vérifie en outre la propriété P3. 


L'utilisation d’une fonction trappe C résout immédiatement les problèmes 1 
et 2 de la multiplication des clés et de leur communication. En effet, les clés 
de chiffrement C sont connus de tous les abonnés et n’ont plus besoin d’être 
transmises. Ensuite, le nombre de clés nécessaires à la communication entre 
n abonnés devient n au lieu de n°, et, à elles seules, ces n clés permettront la 
communication de n'importe quelle personne vers l’un des abonnés, même si 
celle-ci ne figure pas dans la liste de ces abonnés. 


La communication à clé révélée peut se résumer dans le diagramme : 


M, EMETTEUR ne RECEPTEUR | (000)-M 
Î il 


C' clé publique lue sur le bottin D clé secrète du Récepteur 


Communication à clé révélée 


Dans la pratique l’utilisation d’un cryptosystème à clés publiques est plus lent 
que celui d’un cryptosystème classique, et le système à clés publiques permet 
seulement l’échange d’une clé commune secrète permettant à un système con- 
ventionnel de fonctionner. Une fois cette clé commune partagée, l’utilisation 
d’un chiffrement classique représente un gain de temps appréciable surtout 
pour des messages longs. 


Supposons maintenant que l’application C soit une permutation à sens unique, 
autrement dit qu’elle vérifie P1, P2 et P3. Supposons aussi que l’émetteur Æ 
désire envoyer et signer un message M au récepteur À, et que à la fois Æ et 
R appartiennent à la même liste d’abonnés à notre système de cryptographie 
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publique. Notons Cx et Dg (resp. Cr et DR) la clé publique de chiffrement 
et la clé secrète de déchiffrement de E (resp. R). 


L'émetteur utilise sa clé secrète DE sur son message M pour obtenir Dg (M), 
puis utilise la clé publique du destinataire R pour obtenir le message crypté 
M' = CR(Dg(M)). Le destinataire À reçoit ce message M’ qui provient nor- 
malement de Æ. Il cherche la clé publique C% de E, puis calcule CE (Dr (M)) 
pour obtenir M, puisque : 


Ce (Dr (Cr (De (M)))) = M. 
Schématiquement : 
M = M'=CR(DEg(M)) Dr (M') =M" CE (M) —= M: 


Le récepteur R est maintenant assuré que E est bien l’émetteur du message M. 
Il peut même prouver à une tierce personne que le message M qu’il vient de 
déchiffrer provient de Æ. En effet, personne d’autre que E n’aurait pu obtenir 
un message M" = Dy (M) tel que CE (M") = M. Le problème de la signature 
du message est résolu grâce aux permutations à sens unique. Résumons-nous 
par le diagramme : 


M Temereure] 0) Recepreur el Por 


î î 
Cr publique C£& publique 
D% secrète DR secrète 


Communication à clé révélée avec signature 


11 Le système RSA (Rivest, Shamir & Adleman, 
1978) 


11.1 Une généralisation du Théorème d’Euler 


La fonction arithmétique @ : N* — N qui à tout entier naturel non nul n 
associe le nombre d’entiers naturels de l'intervalle [1,n] premiers avec n, est 
appelée fonction indicatrice d’Euler. Si n > 2, on sait que w(n) est égal au 
cardinal du sous-groupe multiplicatif U des éléments inversibles de l’anneau 
Z/nZ, et l’on rappelle que si n = p{'...p}" désigne la décomposition de n en 
produit de facteurs premiers, alors : 


a —1 ax —1 


p(n) = (pf — pr ). (per — per). 
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On sait aussi qu’un élément x de Z/nZ est inversible si et seulement si x est 
premier avec n. 

D'après le Théorème de Lagrange, tout élément x d’un groupe multiplicatif 
fini G de cardinal s et d’élément neutre e vérifie x° = e. En appliquant ce 
résultat à U on obtient &°(% = ji pour tout # € U, soit : 

Théorème 8 Théorème d’Euler 

Sin est un entier supérieur ou égal à 2, alors z?(n) = 1 (n) pour tout entier 
æ premier avec n. 


On peut améliorer le Théorème d’Euler lorsque l’entier naturel n > 2 est libre 
de tout carré, c’est-à-dire sans facteur carré dans sa décomposition (on dit 
encore quadratfrei ou square free) : 


Théorème 9 Soit n un entier naturel supérieur ou égal à 2 et libre de tout 
carré. On note n = p1...px où les nombres premiers p; sont distincts entre eux 
deux à deux. Soit m un multiple commun aux nombres p1 — 1, , px — 1. 
Soient c et d deux entiers naturels tels que cd = 1 (m), autrement dit tels qu'il 
existe un entier k pour lequel cd = km +1. Alors 

1) La congruence x = x (n) est vraie pour tout entier relatif x. 

2) Sim > 0, alors x"**1 = x (n) pour tout x € Z. 

3) On a a = % (n) pour tout x € Z. 


Preuve — 1) Soit x € Z. Si p est un facteur premier de n, le petit Théorème 
de Fermat permet d'écrire x?! = 1 (p) pour tout entier x non divisible par 
p. Comme km est un multiple de p — 1, on déduit x” = 1 (p), ou encore 
xd = 3m = % (p). Cette dernière congruence est en fait triviale lorsque x 
est divisible par p, de sorte que l’on puisse écrire 24 = x (p) pour tout x € Z. 
La différence x — x sera divisible par chacun des nombres premiers p;, donc 


aussi par le produit n = p1...pr, et l’on obtient bien 4% = x (n) 


2) On applique 1) avec k=1, d=1etc=m+l. 
3) On applique 2) avec m = p(n), ce qui est possible puisque : 


gr) = (p1..px) = (p1 — 1)... (px — 1) 


est bien un multiple commun de p1 —1,..., px —1. 1m 


11.2 Principe du système RSA 


Soient p et q deux entiers premiers et n — pq. Soient c et d deux entiers 
naturels tels que cd = 1 (g(n)) où w(n) = (p — 1)(q — 1) (on peut remplacer 
w(n) par n'importe quel multiple m commun à p— 1 et q—1). On peut écrire 
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cd = kp(n) + 1 où k € Z. Les messages x seront des entiers appartenant à 
{0,1,..,n—1}. Le Théorème 9 montre que #1 = x (n). Il suffit donc de 
poser : 

C(x)=a (n) et D(y)= y (n) 


pour obtenir : 


Il 


D(C{x)) = D(x°)= 2% = 3% (n) et C(D(y)) = C(yŸ) = 2% = x (n) 
pour tout entier x. Les fonctions C' et D seront les fonctions de chiffrement et 
de déchiffrement. 


Faisons quelques remarques : 


1) Pour chiffrer, on a besoin de ©, soit de c et de n, qui appartiendront 
au domaine public et seront accessibles en consultant un bottin. 


2) Pour déchiffrer, il faut connaître d et n. 


3) On peut abusivement écrire C = (c,n) et D = (d,n). Dans ce cas C 
représente la clé publique de chiffrement et D la clé secrète de déchiffrement, 
et il s’agit de vérifier que C est une permutation à sens unique. 


Si l’entier n = pq est connu de tout le monde, les nombres premiers p et q seront 
conservés secrets car leur connaissance entraîne celle de w(n) = (p—1)(q—1), 
puis celle de d en résolvant l’équation de Bezout cd — kp(n) = 1, ce qui est 
possible puisque c est dans l’annuaire. Pour que le système puisse fonctionner 
de manière sûre, il faut choisir un entier n très grand possédant au moins 200 
chiffres et rendre ainsi le calcul de p et q impossible en un temps raisonnable 
même si l’on a recours à des ordinateurs puissants. 

L'existence et la sécurité du système RSA reposent sur la facilité d'obtenir des 
entiers premiers p et q de plus de 100 chiffres, et sur la difficulté de retrouver 
la décomposition de l’entier n — pq en un temps raisonnable. Le tableau 
suivant, relevé dans [1], donne une idée du temps nécessaire pour obtenir la 
décomposition de n. 


Nombre de chiffres Nombre d’opérations Temps de calcul 


50 1,4 x 1010 3,9h 

75 9,0 x 10/2 104 jours 
100 2:38 10 74 ans 
200 12x10 3,8 x 10° ans 
300 L 5 X 10 4,9 x 105 ans 
500 13x10 4,2 x 10 ans. 


En 1983, le temps moyen nécessaire à un gros ordinateur pour tester la pri- 
malité d’un entier dans les cas les plus défavorables est donné dans le tableau 
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ci-dessous dû à Pomerance ([18], [3], [10]). 


nombre de chiffres : 20 50 100 200 1000 
temps de calcul :  10sec 15sec 40sec 10min 1 semaine. 


11.3 Exemple numérique 


Prenons p = 163, q = 359 et n = 163 x 359 = 58517. Ici : 
p(n) = 162 x 358 = 57996 = 2? x 34 x 179 


et l’on peut choisir c = 5 x 17 x 59 = 5015 qui est premier avec w(n). On 
résout l’équation de Bezout : 


5015d = 1+57996k (x) 
en utilisant l'algorithme d’Euclide étendu. On obtient : 


57996 — 5015 x 11+2831; 5015 —2831+ 2184; 2831 — 2184 + 647: 
2184 — 647 x 3+243:; GAT — 243 x 2+161; 243 — 161 + 82; 
161=82+79; 82=79+3; 79 =3 x 26 +1. 


D'où : 


1 = 79 — 3 x 26 
= 79 — (82 — 79) x 26 = 27 x 79 — 82 x 26 
= 27 x (161 — 82) — 82 x 26 = 27 x 161 — 53 x 82 
= 27 x 161 — 53 x (243 — 161) — 80 x 161 — 53 x 243 
= 80 x (647 — 243 x 2) — 53 x 243 — 80 x 67 — 213 x 243 
= 80 x 647 — 213 x (2184 — 647 x 3) = 719 x 647 — 213 x 2184 
= 719 x (2831 — 2184) — 213 x 2184 = 719 x 2831 — 932 x 2184 
= 719 x 2831 — 932 x (5015 — 2831) = 1651 x 2831 — 932 x 5015 
= 1651 x (57996 — 5015 x 11) — 932 x 5015 — 1651 x 57996 — 19093 x 5015. 


On a les équivalences : 


5015d — 57996k = 1 & 50154 — 57996k = 1651 x 57996 — 19093 x 5015 
& 5015 (d+ 19093) = 57996 (1651 + k). 


Comme 5015 et 57996 sont premiers entre eux, le Théorème de Gauss montre 
l'existence de t € Z tel que 1651 + k = 5015t, d’où d + 19093 — 579964. 
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La réciproque étant évidente, les solutions entières de l’équation (+) seront 
données par : 
(d, k) = (57996 — 19093, 5015t — 1651) 


oùte Z. 


Choisissons d — 57996 — 19093 — 38903. Si x € {0,1,...,58516}, la clé 
de chiffrement sera C'(x) = x°°15 mod 58517 et la clé de déchiffrement sera 
D (x) = 2%%%% mod 58517. Choisissons un tableau de correspondance permet- 
tant d'écrire les 26 lettres de l’alphabet usuel et quelques caractères spéciaux 
sous la forme de nombres. Par exemple : 


Re ESRI ENS EN EN PNR EN ERENECA 


LA A 2 A PE 


Le message IL FAIT BEAU s'écrit 09-12-00-06-01-09-20-00-02-05-01-21. Quitte 
à rajouter des zéros à la fin, on peut créer des blocs de 5 chiffres pour obtenir 
09120-00601-09200-00205-01210. Le tableau ci-dessous donne la valeur de 
x° mod n en fonction de x : 


z 09120 00601 09200 00205 01210 
29015 mod 58517 : 36974 30760 55559 47231 55755. 


Le message chiffré sera 36974-30760-55559-47231-55755. On le déchiffrera en 
calculant 7y°%%%03 mod 58517 pour chaque bloc y de 5 chiffres. Par exemple 
36974%%%03 mod 58517 — 09120 nous redonne la combinaison de lettres IL. 
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